2 réponses
barnabe0057
Messages postés
14452
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
3 août 2024
4 915
4 févr. 2022 à 18:56
4 févr. 2022 à 18:56
Bonjour,
Pour segmenter ton LAN, il te faudra ce genre de firewall :
https://shop.netgate.com/collections/desktop-appliances/products/2100-base-pfsense?variant=32156742484083
Pour segmenter ton LAN, il te faudra ce genre de firewall :
https://shop.netgate.com/collections/desktop-appliances/products/2100-base-pfsense?variant=32156742484083
avion-f16
Messages postés
19249
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
15 juin 2024
4 503
Modifié le 5 févr. 2022 à 01:17
Modifié le 5 févr. 2022 à 01:17
Bonjour,
C'est une excellente idée, surtout pour les personnes qui ont des serveurs, des objets connectés, qui veulent un réseau isolé pour les invités, ...
L'achat qui me semble indispensable est le switch administrable afin de créer des VLAN et, de cette façon, ne pas devoir acheter un switch par réseau. Il en existe pour ~40€ (8 ports) et ~90€ (16 ports). Dans cette gamme de prix, ce sont des switches administrables via une interface Web et non une CLI, mais ils feront l'affaire pour cet usage.
Ensuite, il te faut un routeur capable de gérer plusieurs réseaux, ce qui n'est pas vraiment le cas des routeurs grand public.
Plusieurs possibilités :
1) Acheter un routeur physique livrés avec son OS/firmware qui lui va bien. Voir chez Ubiquiti et Mikrotik (60-120€ selon le modèle). C'est un firmware propriétaire sur un matériel lui aussi sur-mesure et propriétaire.
2) Dédier un ordinateur au rôle de routeur, sur lequel tu installeras l'OS de ton choix.
L'ordinateur en question peut être n'importe quelle machine compatible BIOS/UEFI :
- Un ordinateur "tour"
- Un serveur "rack"
- Un Intel NUC ou autre PC miniature
- Une "box" dédiée à cet usage. Il y a des marques sérieuses (Netgate, Protectli, ...) et on peut trouver ce genre de box sur AliExpress en cherchant "pfsense" ou "firewall appliance"
- Une "box custom" assemblée par tes soins, avec un choix spécifique des composants. Par exemple, une carte-mère avec CPU intégré (SoC) de type ASRock J5040-ITX + un peu de RAM + un petit SSD
Pour l'OS :
- pfSense (suggéré par @barnabe0057) : OS basé sur FreeBSD et configurable via une interface Web
- OPNsense : dérivé de pfSense suite à des licences pfSense devenues trop contraignantes.
- VyOS : basé sur Debian, pas d'interface Web, mais une CLI qui imite celle des routeurs pro
- N'importe quel OS : Linux, FreeBSD, Windows, ... peuvent faire office de routeur si on sait comment les administrer, mais il faut tout installer à la main.
Cette seconde option est similaire à la première dans le sens où on possède un routeur sur une machine dédiée, qui restera allumée 24/7 sans redémarrage (voir ci-dessous).
La différence, c'est les innombrables possibilités en choix de matériel et de configuration logicielle.
Le budget peut aller de gratuit (si tu as un ordinateur inutilisé) à plusieurs centaines d'euros. Tu peux t'en sortir avec un budget de 200-300€.
3) On choisit un OS comme l'option 2), mais on l'installe sur une machine virtuelle. Cette machine virtuelle sera connectée à un switch virtuel, qui communiquera avec le switch physique via l'interface physique (le RJ-45) en faisant un "trunk".
L'avantage : ça permet d'avoir un routeur gratuitement puisque tu sembles déjà avoir un serveur qui pourrait accueillir cette machine virtuelle.
Les désavantages : il faut transposer les concepts réseau au cas des machines virtuelles, ce qui implique de comprendre comment le logiciel de virtualisation fonctionne et met en place les communications réseaux pour les VM. Si le serveur hôte nécessite un redémarrage (après une màj de son OS) ou un arrêt (mise à niveau ou remplacement d'un composant), ça éteint la VM, donc le routeur, donc le réseau. C'est une option pour l'apprentissage, mais c'est sûrement à éviter en usage réel. La virtualisation m'a permis d'apprendre énormément, que ce soit l'administration Linux ou les réseaux, c'est donc une option très pertinente dans un scénario d'apprentissage.
Il existe aussi des dispositifs combinant routeur et switch, appelés "switch L3", comme celui-ci :
https://mikrotik.com/product/CRS326-24G-2SplusRM
Concernant ton schéma : le DMZ des routeurs "grand public" n'a rien à voir avec la vraie définition du DMZ. Les routeurs grand public utilisent le DMZ pour dire qu'ils redirigent tous les ports vers une machine. Mieux vaut s'en passer et configurer seulement les redirections de port nécessaires.
C'est une excellente idée, surtout pour les personnes qui ont des serveurs, des objets connectés, qui veulent un réseau isolé pour les invités, ...
L'achat qui me semble indispensable est le switch administrable afin de créer des VLAN et, de cette façon, ne pas devoir acheter un switch par réseau. Il en existe pour ~40€ (8 ports) et ~90€ (16 ports). Dans cette gamme de prix, ce sont des switches administrables via une interface Web et non une CLI, mais ils feront l'affaire pour cet usage.
Ensuite, il te faut un routeur capable de gérer plusieurs réseaux, ce qui n'est pas vraiment le cas des routeurs grand public.
Plusieurs possibilités :
1) Acheter un routeur physique livrés avec son OS/firmware qui lui va bien. Voir chez Ubiquiti et Mikrotik (60-120€ selon le modèle). C'est un firmware propriétaire sur un matériel lui aussi sur-mesure et propriétaire.
2) Dédier un ordinateur au rôle de routeur, sur lequel tu installeras l'OS de ton choix.
L'ordinateur en question peut être n'importe quelle machine compatible BIOS/UEFI :
- Un ordinateur "tour"
- Un serveur "rack"
- Un Intel NUC ou autre PC miniature
- Une "box" dédiée à cet usage. Il y a des marques sérieuses (Netgate, Protectli, ...) et on peut trouver ce genre de box sur AliExpress en cherchant "pfsense" ou "firewall appliance"
- Une "box custom" assemblée par tes soins, avec un choix spécifique des composants. Par exemple, une carte-mère avec CPU intégré (SoC) de type ASRock J5040-ITX + un peu de RAM + un petit SSD
Pour l'OS :
- pfSense (suggéré par @barnabe0057) : OS basé sur FreeBSD et configurable via une interface Web
- OPNsense : dérivé de pfSense suite à des licences pfSense devenues trop contraignantes.
- VyOS : basé sur Debian, pas d'interface Web, mais une CLI qui imite celle des routeurs pro
- N'importe quel OS : Linux, FreeBSD, Windows, ... peuvent faire office de routeur si on sait comment les administrer, mais il faut tout installer à la main.
Cette seconde option est similaire à la première dans le sens où on possède un routeur sur une machine dédiée, qui restera allumée 24/7 sans redémarrage (voir ci-dessous).
La différence, c'est les innombrables possibilités en choix de matériel et de configuration logicielle.
Le budget peut aller de gratuit (si tu as un ordinateur inutilisé) à plusieurs centaines d'euros. Tu peux t'en sortir avec un budget de 200-300€.
3) On choisit un OS comme l'option 2), mais on l'installe sur une machine virtuelle. Cette machine virtuelle sera connectée à un switch virtuel, qui communiquera avec le switch physique via l'interface physique (le RJ-45) en faisant un "trunk".
L'avantage : ça permet d'avoir un routeur gratuitement puisque tu sembles déjà avoir un serveur qui pourrait accueillir cette machine virtuelle.
Les désavantages : il faut transposer les concepts réseau au cas des machines virtuelles, ce qui implique de comprendre comment le logiciel de virtualisation fonctionne et met en place les communications réseaux pour les VM. Si le serveur hôte nécessite un redémarrage (après une màj de son OS) ou un arrêt (mise à niveau ou remplacement d'un composant), ça éteint la VM, donc le routeur, donc le réseau. C'est une option pour l'apprentissage, mais c'est sûrement à éviter en usage réel. La virtualisation m'a permis d'apprendre énormément, que ce soit l'administration Linux ou les réseaux, c'est donc une option très pertinente dans un scénario d'apprentissage.
Il existe aussi des dispositifs combinant routeur et switch, appelés "switch L3", comme celui-ci :
https://mikrotik.com/product/CRS326-24G-2SplusRM
Concernant ton schéma : le DMZ des routeurs "grand public" n'a rien à voir avec la vraie définition du DMZ. Les routeurs grand public utilisent le DMZ pour dire qu'ils redirigent tous les ports vers une machine. Mieux vaut s'en passer et configurer seulement les redirections de port nécessaires.
